Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sicherheit in Rechnernetzen: - Professur Datenschutz und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
404<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
403<br />
A. Pfitzmann: Datensicherheit <strong>und</strong> Kryptographie; Lösungen, TU Dresden, WS2000/2001, 15.10.2000, 15:52 Uhr<br />
Vektoren C <strong>und</strong> X ist bei vorgegebenem C <strong>und</strong> M genau dann e<strong>in</strong>deutig lösbar, wenn M<br />
regulär ist. M ist dann <strong>und</strong> nur dann regulär, wenn sich durch Zeilen <strong>und</strong> Spaltenoperationen<br />
aus M e<strong>in</strong>e Dreiecksmatrix machen läßt (d.h. alle Diagonalelemente s<strong>in</strong>d ≠ 0 <strong>und</strong> entweder alle<br />
Werte unter der Diagonale oder alle Werte oberhalb der Diagonale s<strong>in</strong>d 0). Dies wird für<br />
ist.) Also kann der Authentikationscode wie rechts im Bild gezeichnet dargestellt werden: Hier<br />
ist der Wert des MAC <strong>in</strong> Abhängigkeit vom Schlüssel <strong>und</strong> Text dargestellt. Offensichtlich<br />
erfährt man also durch den aktuellen MAC für H nichts über den für T <strong>und</strong> umgekehrt.<br />
1 m ( 1 m' )<br />
unsere Matrix<br />
Text<br />
H T<br />
Text mit MAC<br />
H,0 H,1 T,0 T,1<br />
kurz vorgeführt: Subtraktion der ersten Zeile von der zweiten ergibt:<br />
1 m ( 0 m'– m )<br />
Dies ist genau dann e<strong>in</strong>e Diagonalmatrix, wenn m ≠ m' ist.<br />
0 0<br />
00<br />
–<br />
T<br />
–<br />
H<br />
00<br />
0 1<br />
01<br />
T<br />
–<br />
–<br />
H<br />
01<br />
Um e<strong>in</strong>en subtilen Beweisfehler zu zeigen, wird nachfolgend noch e<strong>in</strong> anderer Beweis<br />
angegeben:<br />
1 0<br />
10<br />
Schlüssel<br />
–<br />
T<br />
H<br />
–<br />
10<br />
Schlüssel<br />
MAC := a + b•m ⇔ a := MAC – b•m<br />
Also kann b beliebig gewählt werden, da durch a die Gleichung erfüllt werden kann. Also<br />
erfährt der Angreifer nichts über b. Bei Authentikation e<strong>in</strong>er anderen Nachricht m' müßte er<br />
aber b kennen, um das MAC zu MAC' korrigieren zu können {, da b•m bei Variation von m<br />
se<strong>in</strong>en Wert beliebig <strong>und</strong> gleichverteilt ändert}.<br />
Ohne den Zusatz der geschweiften Klammer im „Beweis“ wäre der Authentikationscode<br />
MAC := a + b•m2 e<strong>in</strong> nettes Gegenbeispiel: Denn der „Beweis“ trifft auch auf ihn zu, bei ihm<br />
kann aber jede Nachricht m durch -m ersetzt werden, ohne daß das MAC geändert werden<br />
muß.<br />
3-9 Mathematische Geheimnisse<br />
a) Ganz klar ist es nicht, da man die Primzahlen nun nicht mehr mit gleicher Wahrsche<strong>in</strong>lichkeit<br />
wählt, sondern solche, die nach langen Lücken <strong>in</strong> der Primzahlfolge kommen, mit größerer,<br />
solche, die nur zwei größer s<strong>in</strong>d als e<strong>in</strong>e andere Primzahl, nur, wenn sie am Anfang als<br />
Zufallszahl gewählt wurden.<br />
Für Spezialisten: Zum<strong>in</strong>dest unter der Cramerschen Vermutung ist das Verfahren aber<br />
trotzdem sicher: Diese Vermutung (die ich aus [GoKi_86] kenne), besagt π(x + log2x) -<br />
π(x) > 0. Danach erhält man die Primzahlen nach den längsten Lücken nur bis zu e<strong>in</strong>em<br />
Faktor von log2x ≈ l 2 häufiger als die oberen aus Primzahlzwill<strong>in</strong>gen. Für die Produkte n<br />
ergeben sich also Wahrsche<strong>in</strong>lichkeitsunterschiede bis zu l 4 . Wenn es für diese Verteilung<br />
e<strong>in</strong>en erfolgreichen Faktorisierungsalgorithmus gäbe, so wäre er bei der korrekten<br />
Verteilung höchstens um den Faktor l 4 weniger erfolgreich. Damit s<strong>in</strong>kt auch dessen<br />
Erfolgswahrsche<strong>in</strong>lichkeit nicht schneller als jedes Polynom, im Widerspruch zur echten<br />
Faktorisierungsannahme. (Ohne Cramersche Vermutung käme man künstlich wieder zu<br />
demselben Ergebnis, wenn man das Suchen <strong>in</strong> 2-er-Schritten nicht beliebig lange macht,<br />
sondern e<strong>in</strong> Abbruchkriterium verwendet, etwa nach l 2 2-er-Schritten.)<br />
b) Man kann erwarten, daß die beiden Primzahlen sehr nah beie<strong>in</strong>anderliegen, also beide etwa √⎺ n<br />
groß s<strong>in</strong>d. Deswegen kann man die Zahlen <strong>in</strong> der Umgebung von √⎺ n durchsuchen (d.h. n<br />
durch jede von ihnen teilen.)<br />
Genauer: Es gilt <strong>in</strong> den meisten Fällen z.B. q ≤ p + 16l (Primzahlsatz mit etwas Spielraum, da<br />
im Mittel der Abstand zur nächsten Primzahl l•ln(2) ist. Die besonders schöne Zahl 16 wurde<br />
gewählt, um das folgende Rechnen zu erleichtern).<br />
In diesen Fällen ist also p2 < n < p(p + 16l) < (p + 8l) 2 , d.h. p < √⎺ n < p + 8l , also √⎺ n –<br />
8l < p < √⎺ n. Man muß also nur diese 8l Zahlen durchsuchen <strong>und</strong> hat mit signifikanter, sogar<br />
großer Wahrsche<strong>in</strong>lichkeit faktorisiert.<br />
c) 19 = (10011) 2 . Mod 101 gilt:<br />
11 – H – T<br />
11 1 1<br />
c) Ne<strong>in</strong>, weil der Empfänger se<strong>in</strong>e Schlüsselabschnitte ja <strong>in</strong> e<strong>in</strong>er festen Reihenfolge verwendet.<br />
d) Beispiel: Ausgetauscht sei der Schlüssel 00 11 10 01. Zu sichern sei der Klartext H T T T.<br />
Dann wird 00 11 01 00 als Schlüsseltext generiert <strong>und</strong> übertragen.<br />
Bzgl. Authentikation gilt die obige Argumentation s<strong>in</strong>ngemäß: Für jeden der nach e<strong>in</strong>er<br />
Beobachtung des Angreifers möglichen beiden Schüsselwerte muß er bei der angestrebten<br />
Änderung des Klartextes unterschiedliche Schlüsseltexte nehmen. Er hat also wieder ke<strong>in</strong>e<br />
bessere Erfolgsmöglichkeit, als mit der Wahrsche<strong>in</strong>lichkeit 0,5 richtig zu raten.<br />
Führt e<strong>in</strong> Angreifer e<strong>in</strong>en verändernden Angriff durch, kann er allerd<strong>in</strong>gs <strong>in</strong> jedem Fall an der<br />
Reaktion des Angegriffenen (akzeptiert gefälschte Nachricht oder nicht) erkennen, welcher der<br />
beiden nach se<strong>in</strong>er ersten Beobachtung noch möglichen Schlüsselwerte vorliegt, <strong>und</strong> dadurch<br />
den Schlüsselwert genau bestimmen. Aus ihm <strong>und</strong> dem beobachteten Schlüsseltext ergibt sich<br />
der Klartext. Das sei an e<strong>in</strong>em Beispiel erläutert: Der Angreifer fange den Schlüsseltext 00 ab<br />
<strong>und</strong> tippe von den möglichen zwei Schlüsselwerten auf den Wert 00, also auf den Klartext H.<br />
Er ändere den Klartext <strong>in</strong> T ab, <strong>in</strong>dem er den Schlüsseltext 10 weiterschickt. Akzeptiert der<br />
Empfänger, war der Tipp des Angreifers richtig, der ursprünglich gesendete Klartext also <strong>in</strong><br />
der Tat H. Akzeptiert der Empfänger nicht, war der Wert des Schlüssels 01 <strong>und</strong> damit der<br />
ursprünglich gesendete Klartext T.<br />
e) Es wird e<strong>in</strong> zusätzliches Schlüsselbit verwendet. Ist es 0, bleibt alles wie bisher. Ist es 1,<br />
werden <strong>in</strong> der Tabelle genau alle H durch T ersetzt <strong>und</strong> umgekehrt. Selbst nach dem oben<br />
beschriebenen, bzgl. Informationsgew<strong>in</strong>n über den Schlüssel optimalen Angriff weiß der<br />
Angreifer den Wert des zusätzlichen Schlüsselbits nicht. Dieses Schlüsselbit wirkt als Vernam-<br />
Chiffre, so daß die Konzelation auch nach dem Angriff noch perfekt ist.<br />
Leider ist das komb<strong>in</strong>ierte System nun nicht mehr effizienter als Authentikationscode <strong>und</strong><br />
Vernam-Chiffre, sofern erst das Nutzbit konzeliert <strong>und</strong> danach authentisiert wird. Macht man<br />
es andersherum, braucht man statt 3 Schlüsselbits 4.<br />
f) Zu zeigen ist, daß es zu jedem möglichen Wert MAC' (d.h. MAC' ∈ K) genau e<strong>in</strong>en mit der<br />
Beobachtung (m, MAC) verträglichen Wert (a, b) gibt. Das Gleichungssystem<br />
MAC = a + b•m<br />
MAC' = a + b•m'<br />
mit den Unbekannten a, b hat genau dann genau e<strong>in</strong>e Lösung, wenn m ≠ m' ist. m ≠ m' aber<br />
ist genau das Ziel des Angreifers.<br />
Für diejenigen, die sich nicht mehr so genau an die L<strong>in</strong>eare Algebra er<strong>in</strong>nern, e<strong>in</strong>e etwas<br />
ausführlichere Begründung: E<strong>in</strong> Gleichungssystem C = M•X mit der Matrix M <strong>und</strong> den